Podmienił nauczycielowi podpatrzone hasła dostępu
Zaczyna się również u nas to, co starałem się uchwycić kiedyś w tekście Czym skorupka za młodu nasiąknie, otóż jeden z uczniów przejął internetowe konta nauczyciela w różnych serwisach, a ściślej mówiąc: podpatrzył, jak nauczyciel logował się w szkole na swoje konta i w ten sposób poznał hasło. Potem je "tylko" wykorzystał logując się i zmieniając je na nowe, a w ten sposób uniemożliwiając zalogowanie się nauczycielowi.
Uczeń ma 18 lat. Jest więc dorosły. Zmienił hasła nauczycielowi zarówno w serwisie wykorzystywanym do sprawdzania poczty elektronicznej, jak też w serwisie Allegro, czy Naszej Klasie. Wniosek z tego taki, że nauczyciel miał we wszystkich serwisach takie samo hasło. Kiedy nauczyciel nie mógł się zalogować - powiadomił policję, a ta szybko namierzyła chłopaka. O sprawie pisze TVN24 w tekście Uczeń zablokował nauczyciela, a tam m.in.:
Nie chciałem wyrządzić nauczycielowi żadnej szkody - starał się wyjaśnić podczas przesłuchania zatrzymany nastolatek. Twierdził, że miał to być tylko szkolny dowcip. Na domiar złego uważał, że to nauczyciel przez swoją nieostrożność umożliwił włamanie. Poczuł jednak skruchę zaraz po tym, jak się dowiedział, że grozi mu za to odpowiedzialność karna. Poprosił o warunkowe umorzenie postępowania na roczny okres próby. Zobowiązał się również do przeproszenia nauczyciela oraz poddania dozorowi kuratora. Ostateczną decyzję podejmie sąd.
Jeśli do przejęcia hasła doszło w ten sposób, który został opisany powyżej (a więc przyglądanie się jak palce wpisują hasło na klawiaturze), to przez samo logowanie nie doszło do złamania przepisu art. 267. § 1. kodeksu karnego, nazywanego czasem w literaturze hackingiem. Aby do takiego przestępstwa doszło, sprawca musiałby uzyskać informację dla niego nie przeznaczoną w odpowiedni sposób, tj. "otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie". Sprawca również nie posługiwał się "urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym", o czym mówi § 2 tego przepisu. Przestępstwem w tym przypadku było chyba jedynie zmienienie hasła dostępu na kontach nauczyciela, tj. bez uprawnienia zmiany zapisu istotnej informacji na komputerowym nośniku informacji (a więc czyn stypizowany w 268 § 2 Kodeku karnego; pasowałby tu również opis "albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią").
Przeczytaj również:
- A hasła do serwerków Kancelarii Sejmu brzmią...
- Uwaga na byłe dziewczyny z hackerskimi umiejętnościami
- (Tam, dadam dam daaaaam) Zaufany profil, tymczasowo, zamiast podpisu
- Poprawił sobie oceny, może spędzić 38 lat w więzieniu
- Trywialne hasła, doładowania telefonu i internet przygląda się działaniom Netii
- Allegro: przewał "na ogłoszenie o pracę"
- Wyciek z Łodzi
- Szyfrujesz? Ujawnij klucz, albo więzienie.
- Pracownik może zmienić hasło
- Lekarze twierdzą, że NFZ włamywał się do serwisu
- Podszywanie się pod użytkowników aukcji internetowych
- Podszyli się pod sprzedawcę
- Wyłudzenie hasła, Al.-Dżazira i wyrok
- Tata pozywa AOL
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Z innej beczki
Ciekawe, że nikt w serwisach internetowych mówiących o tym incydencie nie zwrócił uwagi na to, czemu nauczyciel "odwiedział" różne strony zamiast pracować?
Nigdzie nie jest napisane ze
Nigdzie nie jest napisane ze odwiedzał zamiast pracować. Na zajęcia uczniowie uczą się obsługi przeglądarek internetowych oraz dowiadują się np. jak założyć konto pocztowe. W wolnych chwilach mogą sprawdzać swoja pocztę. Ponad to w szkołach zazwyczaj są udostępnione komputery do wolnego użytku - każdy może np na przerwie pochodzić po sieci lub napisać/wydrukować pracę.
PS. A pan pracując na komputerze z internetem nie sprawdziłby nigdy swojej poczty w wolnej chwili?
"przełamanie"
To pojęcie jest dość nieszczęśliwe bo zakłada pokonanie zabezpieczenia w inny sposób, niż zostało to przewidziane przez twórcę zabezpieczenia. Z tego powodu wiele zachowań jest eliminowanych z zakresu objętego przepisem.
Tymczasem wystarczy interpretowac ten przepis zgodnie z jego celem (zakaz dostępu do informacji do pozyskania której nie mamy prawa). Zwłaszcza, że pojęcie hackingu obejmuje nie tylko techniki stricte informatyczne ale też wiele innych manipulacji socjotechnicznych, włącznie z grzebaniem w koszach na śmieci w celu zdobycia informacji. Sprawca wykorzystuje wszelkie słabości ofiary, przede wszystkim jej niedbałość o bezpieczeństwo. Założeniem jest, że sprawca świadomie dąży do zdobycia informacji różnymi sposobami, w tym także poprzez podpatrzenie wpisywanego hasła jak to miało miejsce w omawianym przypadku.
Wg mnie śmiało można mu postawić zarzuty z art. 267. § 1 KK.
to jest prawo karne
To jest prawo karne i obowiązuje zasada nullum crimen sine lege, a tym samym zakaz dokonywania wykładni rozszerzającej.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Owszem, ale zasada ta
Owszem, ale zasada ta prowadzi w pewnych sytuacjach do wniosków absurdalnych z punktu widzenia zakładanych celów przepisu. W przypadku omawianego przepisu takim celem jest ochrona informacji przed niepowołanym dostępem.
Nie jestem za dowolnym rozszerzaniem wykładni, ale za interpretacją celową, dlatego tez napisałem że pojęcie przełamywania jest niezbyt szczęśliwe.
Z przepisem tym wiąże się jeszcze inny podobny temat, związany ze sformułowaniem "uzyskuje informację". Zgodnie ze stanowiskiem niektórych doktrynerów (A. Adamski) uzyskanie informacji musi się w tym wypadku wiązać z zapoznaniem z jej treścią. Takie podejście również ogranicza zakres zastosowania przepisu wbrew oczywistemu celowi jego ustanowienia.
cel przepisu
Skoro to takie oczywiste to pewnie wyjdę na ignoranta, ale czy mógłby Pan wyartykułować jaki dokładnie był cel tego przepisu?
wydaje mi się że już to
wydaje mi się że już to zrobiłem :)
"W przypadku omawianego przepisu takim celem jest ochrona informacji przed niepowołanym dostępem."
usiłowanie
Spróbujmy może wyrazić ten cel jako postulowany stan faktyczny; kto ma robić co, lub czego nie robić.
Jak rozumiem pytania typu "Kiedy masz urodziny?", "Jak ma na imię Twoja dziewczyna?" należy oceniać jako usiłowanie popełnienia przestępstwa, o którym rozmawiamy?
ponieważ moja poprzednia
ponieważ moja poprzednia odpowiedź z jakichś względów sie nie pojawiła, więc próbuję ponownie
Rzecz sprowadza się do tego czy dysponent danego prawa wyrazi chęć jego ochrony - czy to stawiając półmetrowy płotek wokół ogródka, czy też "chowając" dane za systemem autoryzacyjnym. Nie ma znaczenia czy dane zabezpieczenie można łatwo obejść (przeskoczyć płotek lub zalogować się po uprzednim podpatrzeniu hasła) - intencja dysponenta prawa jest jasna. Każdy rozsądny człowiek odczyta to jednoznacznie jako zakaz naruszania tego prawa - i właśnie tu tkwi faktyczna granica co robić a czego nie robić, co jest uprawnione a co nie.
Pytania o urodziny i imię należy oceniać raczej jako bicie piany :)
Ponieważ forum jest moderowane
Ponieważ forum jest moderowane i jeśli w komentarzach pojawiają się jakieś pozamerytoryczne wycieczki, to takiego komentarza nie przepuszczam. Na "bicie piany" też raczej tu nie ma miejsca, zwłaszcza jak się nie zna osoby do której się takim określeniem zwraca, ale przepuszczę, bo może w przyszłości szanowny autor zechce wziąć pod uwagę uniżoną prośbę o argumentację rzeczową, którą niniejszym składam jako moderator.
--
[VaGla] Vigilant Android Generated for Logical Assassination
intencja podmiotu a cel normy prawnej
To, czy będziemy w stanie w rozsądnych granicach odczytać intencję danego podmiotu to sfera rozważań już po ustanowieniu normy prawnej. O ile się nie pogubiłem to aktualnie staramy się ustalić jej cel.
Rozumiem, że Pan odczytuje cel normy z 267 par. 1 KK mniej więcej tak: "nikt nie może uzyskać dostępu do informacji, której osoba mająca do niej dostęp nie udostępniłaby z własnej woli".
Ten cel możemy osiągnąć za pomocą różnych rodzajów regulacji. Prawo karne jest jednym z możliwych sposobów. Poza nim jest jeszcze np. prawo cywilne (odpowiedzialność za szkodę). A poza prawem mamy jeszcze inne regulatory, że powtórzę za szkołą chicagowską: (1) architektura, (2) rynek, (3) zwyczaje społeczne (to ostatnie oni nazywają "norms").
Nie wszystkie deski trzeba mocować za pomocą gwoździ i nie wydaje mi się, aby prawo karne miało być narzędziem do osiągnięcia wyżej wyartykułowanego celu w całej jego rozciągłości. Pytanie o imię dziewczyny lub datę urodzenia są skrajnym przykładem sytuacji, w których nie potrzebujemy normy karnej; wręcz, byłaby ona społecznie szkodliwa.
Jeżeli ustawodawca uznał, że norma karna obejmuje tylko uzyskanie informacji w odpowiedni sposób (otwierając zamknięte pismo itp.) to ustalił tu pewną granicę. Jest to sygnał dla dysponentów informacji - "jeżeli cenicie daną informację, uzyskacie ochronę karną o ile tylko podejmiecie pewien dodatkowy wysiłek jej chronienia - sama intencja nieudostępnienia nie wystarczy. Policja i podatnicy nie będą wam zastępować wydatków na środki, które sami możecie sobie zapewnić. Jeżeli nie podejmiecie tego wysiłku, to pozostaje wam np. prawo cywilne."
Zgadzam się co do tak
Zgadzam się co do tak sformułowanego celu - oczywiście że można go osiągnąć różnymi drogami. Jednak nasza dyskusja toczy się w odniesieniu do konkretnej sytuacji i w kontekście prawa karnego właśnie. Stąd pytania o imię i urodziny potraktowałem, może na wyrost, jako bicie piany i odrywanie się od tematu.
> "nie wydaje mi się, aby prawo karne miało być narzędziem do osiągnięcia wyżej wyartykułowanego celu w całej jego rozciągłości"
Proszę o przytoczenie fragmentu mojej wypowiedzi, w której sugerowałem powyższe...
Cel przepisu z natury rzeczy musi być sformułowany ogólnie, ale konkretyzujemy go w określonej sytuacji i oceniamy czy w ogóle sytuacja kwalifikuje się do penalizacji czy nie. W omawianym przypadku jest kilka elementów które musimy rozpatrzyć - wg mnie:
- bezprawność wynika z faktu przekroczenia przez sprawcę pewnych granic ustanowionych przez dysponenta informacji
- w kwestii przełamania zabezpieczeń ("odpowiedni sposób") odsyłam do orzeczeń wskazanych przez barta w tym wątku
Pozdrawiam
Nasza dyskusja toczy się w
Nasza dyskusja toczy się w kontekście prawa karnego i konkretnej sytuacji, ale nie powinna chyba polegać na dyskutowaniu "jak wkręcić śrubkę za pomocą młotka". Tzn. system prawa nie składa się tylko z art. 267 KK.
Pana odwołanie się do wykładni celowościowej zrozumiałem jako argumentację, że powinniśmy za wszelką cenę zastosować ten przepis mimo, że niekoniecznie wynika to z jego wykładni literalnej. Byłoby to może zasadne, gdyby nie istniały inne środki regulacji. Warto się tak w ogóle zastanowić, kto może osiągnąć cel regulacji skuteczniej i taniej: państwo i podatnicy ścigając każdego, kto wydaje się działać wbrew domniemanej woli dysponentów informacji, czy też sami ci dysponenci "trzymając karty przy orderach"?
No i właśnie - być może rzeczywiście zaglądanie przez ramię jest przekroczeniem pewnych granic, ale nie wiem, czy są to granice, które ustawodawca uznał za wyznaczniki czynu zabronionego przez normę karną.
A co do orzeczeń zacytowanych przez barta - nie jestem specjalistą od prawa karnego, ale szybka kwerenda orzeczeń do 279 wskazuje, że nie jest to chyba jedyne orzecznictwo na ten temat.
Cóż, pisząc o celach i
Cóż, pisząc o celach i ich konkretyzacji w danym przypadku, miałem na myśli ogólną zasadę pracy z przepisem - nie ograniczyłem się więc bynajmniej do tego jednego przepisu.
Omawiana sytuacja jest tu tylko przykładem, kiedy próbujemy taki cel skonkretyzować, co uczynił też sąd we wspomnianych orzeczeniach.
Nie twierdzę również że należy sięgać po KK w każdej sytuacji i stosować go za wszelką cenę. Jednak omawiany przypadek nie wydaje mi się tak trywialny, jak najwyraźniej Pan go odbiera (proszę mnie poprawić jeśli się mylę). Wola dysponenta informacji nie jest domniemana - człowiek świadomie wybiera usługę elektroniczną zabezpieczoną w pewien sposób aby korzystać z niej z wyłączeniem innych osób. Prywatność korespondencji, przynajmniej dla mnie, jest wartością dość istotną. Nie muszę mówić jakie konsekwencje może mieć np. wysłanie obelżywego maila z przejętego konta pocztowego do kogoś z rodziny. Podobnie, przejęcie konta w Allegro wiąże się z konsekwencjami cywilnymi, jeśli "w imieniu" jego dysponenta dokonamy zakupu. Generalizując - można nieźle namieszać w życiu człowieka.
Nie ma najmniejszego znaczenia czy ma on świadomość swojej nieostrożności, wykorzystując jedno hasło w wielu systemach. Zostawienie otwartych na oścież drzwi nie uprawnia nikogo do kradzieży, nie uprawnia też do nazwania własciciela mieszkania współsprawcą.
Zaglądanie przez ramię, mimo że trywialne i nie wymagające większego wysiłku, jest taką samą metodą na zdobycie środkow do popełnienia przestepstwa jak ich wykradzenie.
Nie jest "przełamaniem" w sensie dosłownym, ale jest nim co do istoty problemu. Wykładnia celowosciowa jest tutaj o tyle istotna, że ma za zadanie doprecyzowac, nadać sens i znaczenie danem pojęciu w okreslonym kontekście. Pojęciu niedookreślonemu z natury rzeczy, bo takim niestety językiem się posługujemy - bez jednoznacznych desygnatów. Oczywiście nie można bujać w obłokach i rozszerzać interpretacji ponad miarę - z pomocą przychodzi zasada słuszności, zrowy rozsądek i życiowe doświadczenie. Uważam, że do wykładni literalnej należy podchodzić równie ostrożnie co do rozszerzającej. Podejście stricte literalne prowadzi do zidiocenia systemu prawnego - przykładem są odszkodowania przyznawane w Stanach "ofiarom" palenia tytoniu czy poparzonym wrzątkiem w MacDonaldach - bo nie było instrukcji że wrzątek parzy :).
Proszę o wskazanie ew. zasad, na podstawie kórych moglibyśmy dokonac wartościowania, czy zaglądniecie przez ramię jest w jakiś sposób gorsze od innych metod prowadzacych do zdobycia hasła. Wykorzysywana powszechnie metoda słownikowa również nie polega na dosłownym przełamywaniu czegokolwiek - ale na zwykłym dopasowaniu hasła metoda prób i błędów dokonywanym przez automat. Czy metoda ta, również nie kwalifikująca się na podstawie literalnej wykładni, nie uprawnia nas do zastosowania omawianego przepisu?
Co do orzecznictwa - zapewne nie jest to jedyne orzecznictwo, ale zwykle SN nie zaprzecza sobie co do zasady. Nalezy je cenić zwłaszcza dlatego, że wydają je ludzie o sporym doświadczeniu nie tylko stricte prawniczym ale również życiowym, co w moim przekonaniu jest sprawą absolutnie podstawową. Ja również nie jestem specjalistą - nie jestem nawet praktykującym prawnikiem.
Pozdrawiam
zgadzam się
Zgadzam się generalnie z tym, że w omawianej sprawie osoba, której podmieniono hasła ma interes zasługujący na ochronę prawną. W powyższych komentarzach starałem się jedynie wykazać, że art. 267 niekoniecznie stanowi podstawę prawną ochrony tego interesu.
Ponowię pytanie o koszt regulacji: Kto jest w stanie chronić omawiany interes łatwiej i taniej? Jego podmiot, który może po prostu się zasłonić lub nie korzystać z prostego hasła, czy policja i państwo? Argumentując znowu ad absurdum: czy chcielibyśmy, aby wszyscy obywatele wybrali sobie jako PIN do karty 1111 i wymagali od państwa i podatników, aby ścigano osoby, które dokonają płatności ich kartami? Jest to generalnie pytanie kto powinien ponosić koszt ryzyka używania danej technologii - państwo (podatnicy), czy osoby z niej korzystające.
Powyższa analiza kosztów (Coase i jemu podobni nazywają to "least cost avoider") jest moim zdaniem zasadą, którą powinno się stosować przede wszystkim przy ustanawianiu prawa, a dodatkowo przy jego wykładni.
Przypominam ponownie, że art. 267 nie jest jedynym przepisem. VaGla w artykule wskazał inny przepis karny, który może być pomocny, gdy nie doszło do przełamania zabezpieczeń. Istnieje również odpowiedzialność odszkodowawcza opisana w kodeksie cywilnym. Innymi słowy - podglądanie haseł może być czynem zabronionym, ale niekoniecznie z art. 267.
Oczywistym jest, że to ja
Oczywistym jest, że to ja mogę chronić lepiej i taniej swoją prywatność. Warunkiem tej ochrony jest jednak moja świadomość tego JAK to robić i czy mam MOŻLIWOŚCI (również finansowe) ku temu. Zaczynamy dotykać problemu obiektywnej nierówności społecznej (edukacyjnej, ekonomicznej), a to już nieco szerszy temat. Wystarczy w tym miejscu wskazać że państwo usiłuje (oczywiście w niedoskonały sposób) trochę tą nierówność niwelować.
Uciekając w dygresję (mam nadzieję że moderator nie potraktuje tego jako "wycieczki" :) : jeśli malarz pomaluje mi źle ściany nie dochodzę swoich roszczeń na drodze karnej, bo ustawodawca stwierdził że moje ściany to nie jest problem społecznie istotny, wart ochrony i ingerencji ze strony państwa. Jeżeli ten sam malarz ukradnie mi przy okazji radio, to mimo że jest ono małej wartości i szkodliwość społeczna zostanie uznana za niską, to sam czyn jest czynem zabronionym bo przekracza pewne akceptowalne granice i narusza społecznie istotne dobro jakim jest własność. Oczywiście taniej byłoby gdybym to radio uprzednio ukrył ale nie mogę założyć że każdy to złodziej. Przynajmniej teoretycznie chronieni jesteśmy w tym obszarze na takim samym poziomie.
Omawiany przypadek dotyczy dóbr obecnie równie istotnych co własność, takich jak dane osobowe, prywatność itd. do ochrony której powołuje się nawet specjalne instytucje (np. GIODO). Ich naruszenie może wywołać daleko idące konsekwencje, więc w pełni zasługują na ingerencję państwa i w tym zakresie należy wyżej wspomniane nierówności niwelować. Po prostu nie każdy ma możliwości ochrony i dochodzenia swoich praw.
Podsumowując - ustawodawca już zdecydował jakie dobra chronić wspomnianym przepisem. Podobnie jak zdecydował że muszę płacić ZUS, chociaż sądzę że mógłbym zadbać o swoją przyszłość taniej i lepiej. Nie zmienia to faktu że mogę we własnym zakresie dodatkowo się ubezpieczyć.
Pozdrawiam
malarz
W Pana przykładzie z malarzem - o ile się nie mylę, malarz nie będzie odpowiadał za włamanie, tylko za kradzież (278, a nie 279). I o podobnym problemie rozmawiamy - czy "podglądacz hasła" powinien odpowiadać za "przełamanie zabezpieczeń" czy dopiero za niecne wykorzystanie tego hasła.
W moim przekonaniu za jedno
W moim przekonaniu za jedno i drugie - pozyskanie hasła traktuję jako szeroko rozumiane "przełamanie". Sprawca zrobił z niego użytek i uzyskał dostęp do informacji (konto pocztowe, allegro itd).
świadomość i celowość działania sprawcy
Wobec tego zapytam czy wykorzystanie danych do logowania i hasła poprzez „zaglądanie przez ramie” nie jest czynem zabronionym?
Myślę, że decydujące jest tutaj samo naruszenie w postaci logowania się do konta do którego naruszyciel nie miał prawa, i późniejsza zmiana hasła. W codziennym życiu często mamy sytuacje kiedy wręcz mimowolnie bez świadomości robimy coś na granicy czynu zabronionego. Tutaj bezsprzecznie taka świadomość i celowość działania była. Czy to nie wystarczy?
Tutaj było to już
Tutaj było to już dogłębnie omówione
Nullum Crimen
zasadniczo tak, ale od lat sądy (opierając się na starych wytycznych SN, VII KZP 48/78) uważają, że wejście do pomieszczenia przy pomocy ukradzionych czy też podstępnie uzyskanych kluczy to włamanie z art. 279 kk, które co do zasady też powinno opierać się na "przełamaniu" materialnej tym razem przeszkody. Podobnie kradzieżą z włamaniem według SN jest wypłata pieniędzy z bankomatu przy pomocy uzyskanego wbrew woli osoby uprawnionej PINu (V KKN 9/01).
Ile hasel mozna zapamietac?
Czy DOBRY nauczyciel nie powinien docenić zapału u takiego ucznia i wykorzystać sytuację do nauki właśnie? Postawić młodzieńca przed całą klasą, kazać mu wyjaśnić co zrobił i na swoim przykładzie pokazać innym uczniom co się stanie, kiedy używa się tych samych haseł i jak łatwo jest uzyskać dostęp do różnych zasobów...
O hasłach: patrząc zdroworozsądkowo - to ile można zapamiętać pinów, oraz par login/hasło? Portal taki i owaki, mail jeden, drugi, trzeci, e-bank, i-bank, komórka, dwie karty płatnicze, e-sklep z komputerami, z herbatą...
Nic dziwnego, że większość ludzi pójdzie na skróty i używa jednego bądź dwóch haseł.
Tu ukłony w stronę tych dostawców usług, którzy docenili mechanizm jednorazowego hasła wysyłanego sms-em :)
Od zapamiętania wielu haseł są managery haseł
Lepsze przeglądarki oferują zapisanie haseł w zaszyfrowanej postaci, dzięki temu pamiętamy jedno hasło, a nie tuzin. Posiadacze laptopów z TPM mogą zapisać hasła na dysku flashowym... Sposobów jest mnóstwo.
Ile można zapamiętać
Ile można zapamiętać haseł? Dwa, trzy hasła główne to managerów haseł, jakiś szyfrowanych kontenerów danych.
A całą resztę przechowywać w managerze haseł, zewnętrznym typu bezpłatny na licencji GPL KeePass, czy tego wbudowanego w przeglądarkę internetową.
Ja do każdego konta pocztowego, konta na forum, banku itd mam inne hasło, w dodatku w postaci generowanego ciągu znaków. Zapewnia dobre bezpieczeństwo, i po odpowiednim skonfigurowaniu managera haseł korzysta się z tego bez jakiegokolwiek problemu czy straty czasu.
Ja do każdego konta
A ja nie. Po prostu nie widzę sensu. Dziesiątki kont na różnych stronach, forach czy serwisach mam z takim samym hasłem - bo nie widzę potrzeby wymyślania i przechowywania kolejnego hasła do jakiegoś mało istotnego forum. Co się stanie, jeśli ktoś mi tam "wlezie"? Z grubsza nic. Założę sobie nowe konto i tyle.
Oczywiście hasła do banku, do głównych kont mailowych czy serwerów, którymi czasem administruję - to zupełnie inna rozmowa. Tych pilnuję, bo ich przejęcie mogłoby spowodować konkretne szkody. I oczywiście nigdy się nie loguję z cudzego komputera - a już szczególnie nie z publicznie dostępnego, w końcu któż może wiedzieć ile keyloggerów i trojanów na nim jest.
Masowe używanie jednego loginu i hasła może być przemyślaną polityka bezpieczeństwa, jeśli jest to świadoma decyzja. Nie należy popadać w paranoję...
W przypadku wzmiankowanego nauczyciela chyba tak nie było, sądząc po gwałtownej reakcji.
OpenID
rozwiązaniem problemu haseł może być również OpenID (jako pośrednik logowania - bo tylko do niego mamy logowanie, inne serwisy ufają mu i sprawdzają czy użytkownik się zalogował.
Co prawda wiąże się z tym kilka zagrożeń (utrata hasła powoduje całkowitą kontrolę nad kontami - vide jedno hasło (ale tu można ustawić jedno trudne, albo u niektórych dostawców logować się certyfikatem, zresztą można postawić własny serwer OpenID), ryzyko utraty danych osobistych w razie włamania na serwer OpenID - dostawcy możemy podać więcej danych do wypełniania formularzy rejestracyjnych witryn.
M.in. CMS Drupal (w tym serwisie nie jest to włączone) obsługuje logowanie poprzez OpenID, yahoo.com (jako jeden z pierwszych dużych dostawców, nie licząc pip.verisignlabs.com) uruchomił również serwer uwierzytelniający
Ale do logowania na stronach mniej ważnych (czyli większość stron poza bankami, aukcjami, itd można go śmiało stosować - niestety twórcy stron rzadko go implementują)
Fragment z protokołu rozprawy sądowej...
"W firmia XXXX pracowałem od maja 2005r. do mojego zwolnienia dyscyplinarnego w związku z tą sytuacją do 1.12.2006r.. W grudniu 2005r. pracowałem w jednym z 2 oddziałów Callcenter XXXX w Warszawie przy ulicy YYYYY 7. Ja pracowałem wtedy w open space'ie, oprócz mnie w tym open space'ie pracowało kilkaset osób. Generalnie departament obsługi klienta zatrudniał ok. 900 osób. W open space'ie, w którym wtedy pracowałem było ok. 18 boksów. Każdy boks był podzielony na stanowiska pracy, w jednym boksie było ok. 21 stanowisk, co razem daje ok. 350 stanowisk pracy. Nikt nie miał przypisanego swojego miejsca. Nadzór miał wydzielone szklane pomieszczenia. Bezpośredni nadzór zaś pracował w bezpośrednich boksach. Bliżej z mojej pracy znałem ok. 16 osób. Gdy przychodziłem do pracy i znajdowałem miejsce w open space'ie, to logowałem się przy pomocy mojego logina i hasła. Loginem była pierwsza litera imienia i nazwisko, z reguły to odnosiło się do wszystkich konsultantów, chyba że powtarzało się jakieś nazwisko, to dodawano jakieś cyfry. Tym loginem i swoim hasłem mogłem zając dowolne stanowisko w boksie. Ta procedura dotyczyła wszystkich konsultantów. Zdarzało się, że znałem hasła i loginy innych osób. Loginy znane były wszystkim, a hasło znałem np. kolegi Jacka YYYYY, z tego, co pamiętam było to hasło „sssssss". Pamiętam, że również znałem hasło koleżanki Kasi WWWWWW, miała hasło lala i jakiś ciąg cyfr, którego nie pamiętam w tej chwili. W tej chwili nie pamiętam, czy znałem hasła innych osób. Ja znałem hasła przynajmniej 10 osób teraz już nie pamiętam, czyje. Najwidoczniej ktoś znał moje hasło. Ja generalnie nikomu z firmy nie mówiłem mojego hasła, ale istniała możliwość jego podpatrzenia, ponieważ często zamiast hasła wpisywałem login i na odwrót i wtedy można było, stojąc za mną, podpatrzeć. Ja o haśle mojej koleżanki Kasi dowiedziałem się od niej z sms-a, przysłała mi go wtedy, gdy chciał, żebym załogował się na nią, bo się spóźniła do pracy. Pamiętam również jeszcze jedną taką sytuację, że ktoś wysłał hasło sms-em, by ktoś inny się za niego załogował."